Vývojári Firefoxu o ukončení testovania podpory DNS cez HTTPS (DoH, DNS over HTTPS) a zámere povoliť túto technológiu štandardne pre používateľov z USA koncom septembra. Aktivácia bude prebiehať postupne, spočiatku pre niekoľko percent používateľov, a ak sa nevyskytnú problémy, postupne sa zvýši na 100 %. Po pokrytí USA sa bude DoH zvažovať začlenenie do iných krajín.
Testy vykonané počas celého roka ukázali spoľahlivosť a dobrý výkon služby a tiež umožnili identifikovať niektoré situácie, v ktorých môže DoH viesť k problémom, a vyvinúť riešenia na ich obídenie (napríklad rozobrané s optimalizáciou prevádzky v sieťach na doručovanie obsahu, rodičovskou kontrolou a firemnými internými zónami DNS).
Dôležitosť šifrovania DNS prevádzky sa hodnotí ako zásadne dôležitý faktor pri ochrane používateľov, preto bolo rozhodnuté povoliť DoH štandardne, ale v prvej fáze len pre používateľov zo Spojených štátov. Po aktivácii DoH dostane používateľ varovanie, ktoré v prípade potreby umožní odmietnuť kontaktovať centralizované DNS servery DoH a vrátiť sa k tradičnej schéme odosielania nešifrovaných požiadaviek na DNS server poskytovateľa (namiesto distribuovanej infraštruktúry DNS resolverov, DoH používa väzbu na konkrétnu službu DoH, ktorú možno považovať za jediný bod zlyhania).
Ak je aktivovaná funkcia DoH, môžu byť narušené systémy rodičovskej kontroly a podnikové siete, ktoré na riešenie intranetových adries a podnikových hostiteľov používajú iba internú sieťovú štruktúru názvov DNS. Na vyriešenie problémov s takýmito systémami bol pridaný systém kontrol, ktorý automaticky deaktivuje DoH. Kontroly sa vykonávajú pri každom spustení prehliadača alebo pri zistení zmeny podsiete.
K dispozícii je aj automatický návrat k používaniu štandardného prekladača operačného systému, ak sa počas rozlíšenia cez DoH vyskytnú zlyhania (napríklad ak je narušená dostupnosť siete u poskytovateľa DoH alebo sa vyskytnú poruchy v jeho infraštruktúre). Význam takýchto kontrol je otázny, keďže nikto nebráni útočníkom, ktorí riadia činnosť resolvera alebo sú schopní zasahovať do prevádzky, aby simulovali podobné správanie a deaktivovali tak šifrovanie DNS prevádzky. Problém bol vyriešený pridaním položky “DoH always” do nastavení (tichá neaktívna), pri nastavení sa neuplatňuje automatické vypnutie, čo je rozumný kompromis.
Na identifikáciu podnikových prekladačov sa kontrolujú atypické domény prvej úrovne (TLD) a systémový prekladač vracia intranetové adresy. Ak chcete zistiť, či je povolená rodičovská kontrola, vykoná sa pokus o rozpoznanie názvu exampleadultsite.com a ak výsledok nezodpovedá skutočnej adrese IP, považuje sa blokovanie obsahu pre dospelých na úrovni DNS za aktívne. IP adresy Google a YouTube sa tiež kontrolujú ako znaky, aby sa zistilo, či neboli nahradené adresami limited.youtube.com, Forcesafesearch.google.com astrictmoderate.youtube.com. Dodatočná Mozilla implementovať jeden testovací hostiteľ , ktorý môžu poskytovatelia internetových služieb a služby rodičovskej kontroly použiť ako príznak na zakázanie DoH (ak nie je detekovaný hostiteľ, Firefox deaktivuje DoH).
Práca prostredníctvom jedinej služby DoH môže tiež potenciálne viesť k problémom s optimalizáciou prevádzky v sieťach na doručovanie obsahu, ktoré vyrovnávajú návštevnosť pomocou DNS (server DNS siete CDN generuje odpoveď zohľadňujúcu adresu prekladača a poskytuje najbližšiemu hostiteľovi na príjem obsahu). Odoslanie dotazu DNS z prekladača najbližšie k používateľovi v takýchto CDN má za následok vrátenie adresy hostiteľa najbližšie k používateľovi, ale odoslanie dotazu DNS z centralizovaného prekladača vráti adresu hostiteľa najbližšie k serveru DNS-over-HTTPS . Testovanie v praxi ukázalo, že použitie DNS-over-HTTP pri použití CDN neviedlo prakticky k žiadnym oneskoreniam pred začiatkom prenosu obsahu (pri rýchlych pripojeniach oneskorenia nepresiahli 10 milisekúnd a na pomalých komunikačných kanáloch bol pozorovaný ešte rýchlejší výkon ). Uvažovalo sa aj o použití rozšírenia EDNS Client Subnet na poskytnutie informácií o polohe klienta do CDN resolveru.
Pripomeňme, že DoH môže byť užitočné na zabránenie úniku informácií o požadovaných názvoch hostiteľov cez DNS servery poskytovateľov, na boj proti MITM útokom a spoofingu DNS prevádzky, proti blokovaniu na úrovni DNS alebo na organizovanie práce v prípade, že nie je možné priamo pristupovať k serverom DNS (napríklad pri práci cez proxy). Ak sa v normálnej situácii požiadavky DNS odosielajú priamo na servery DNS definované v konfigurácii systému, potom v prípade DoH je požiadavka na určenie adresy IP hostiteľa zapuzdrená v prenose HTTPS a odoslaná na server HTTP, kde prekladač spracuje žiadosti cez webové rozhranie API. Existujúci štandard DNSSEC používa šifrovanie iba na autentifikáciu klienta a servera, ale nechráni prevádzku pred zachytením a nezaručuje dôvernosť požiadaviek.
Ak chcete povoliť DoH v about:config, musíte zmeniť hodnotu premennej network.trr.mode, ktorá je podporovaná od Firefoxu 60. Hodnota 0 úplne vypne DoH; 1 - používa sa DNS alebo DoH, podľa toho, čo je rýchlejšie; 2 - Predvolene sa používa DoH a ako záložná možnosť sa používa DNS; 3 - používa sa iba DoH; 4 - režim zrkadlenia, v ktorom sa paralelne používajú DoH a DNS. V predvolenom nastavení sa používa server DNS CloudFlare, ale je možné ho zmeniť pomocou parametra network.trr.uri, napríklad môžete nastaviť „https://dns.google.com/experimental“ alebo „https://9.9.9.9 .XNUMX/dns-query "
Zdroj: opennet.ru